ಒಂದೆರಡು ದಿನಗಳ ಹಿಂದೆಯಷ್ಟೇ ಐ ರಷ್ಯಾದ ಆನ್ಲೈನ್ ವೈದ್ಯಕೀಯ ಸೇವೆ DOC+ ಸಾರ್ವಜನಿಕ ಡೊಮೇನ್ನಲ್ಲಿ ವಿವರವಾದ ಪ್ರವೇಶ ಲಾಗ್ಗಳೊಂದಿಗೆ ಡೇಟಾಬೇಸ್ ಅನ್ನು ಹೇಗೆ ಬಿಡಲು ನಿರ್ವಹಿಸುತ್ತಿದೆ ಎಂಬುದರ ಕುರಿತು Habré ನಲ್ಲಿ, ಇದರಿಂದ ರೋಗಿಗಳು ಮತ್ತು ಸೇವಾ ಉದ್ಯೋಗಿಗಳ ಡೇಟಾವನ್ನು ಪಡೆಯಬಹುದು. ಮತ್ತು ಇಲ್ಲಿ ಹೊಸ ಘಟನೆಯಾಗಿದೆ, ರೋಗಿಗಳಿಗೆ ವೈದ್ಯರೊಂದಿಗೆ ಆನ್ಲೈನ್ ಸಮಾಲೋಚನೆಗಳನ್ನು ಒದಗಿಸುವ ಮತ್ತೊಂದು ರಷ್ಯಾದ ಸೇವೆಯೊಂದಿಗೆ - “ಡಾಕ್ಟರ್ ಹತ್ತಿರದ” (www.drclinics.ru).
ವೈದ್ಯರ ಸಮರ್ಪಕತೆಗೆ ಧನ್ಯವಾದಗಳು ಸಿಬ್ಬಂದಿ ಹತ್ತಿರವಿದೆ ಎಂದು ನಾನು ಈಗಿನಿಂದಲೇ ಬರೆಯುತ್ತೇನೆ, ದುರ್ಬಲತೆಯನ್ನು ತ್ವರಿತವಾಗಿ ತೆಗೆದುಹಾಕಲಾಗಿದೆ (ರಾತ್ರಿ ಅಧಿಸೂಚನೆಯ ಕ್ಷಣದಿಂದ 2 ಗಂಟೆಗಳು!) ಮತ್ತು ವೈಯಕ್ತಿಕ ಮತ್ತು ವೈದ್ಯಕೀಯ ಡೇಟಾದ ಯಾವುದೇ ಸೋರಿಕೆ ಇಲ್ಲ. DOC+ ಘಟನೆಗಿಂತ ಭಿನ್ನವಾಗಿ, ಡೇಟಾದೊಂದಿಗೆ ಕನಿಷ್ಠ ಒಂದು json ಫೈಲ್, 3.5 GB ಗಾತ್ರದಲ್ಲಿ, "ಮುಕ್ತ ಪ್ರಪಂಚ" ದಲ್ಲಿ ಕೊನೆಗೊಂಡಿದೆ ಮತ್ತು ಅಧಿಕೃತ ಸ್ಥಾನವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ ಎಂದು ನನಗೆ ಖಚಿತವಾಗಿ ತಿಳಿದಿದೆ: "ಅಲ್ಪ ಪ್ರಮಾಣದ ಡೇಟಾವು ತಾತ್ಕಾಲಿಕವಾಗಿ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಾಗಿದೆ, ಇದು DOC+ ಸೇವೆಯ ನೌಕರರು ಮತ್ತು ಬಳಕೆದಾರರಿಗೆ ಋಣಾತ್ಮಕ ಪರಿಣಾಮಗಳಿಗೆ ಕಾರಣವಾಗುವುದಿಲ್ಲ.".
ನನ್ನೊಂದಿಗೆ, ಟೆಲಿಗ್ರಾಮ್ ಚಾನಲ್ನ ಮಾಲೀಕರಾಗಿ "", ಅನಾಮಧೇಯ ಚಂದಾದಾರರು www.drclinics.ru ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಯನ್ನು ಸಂಪರ್ಕಿಸಿದ್ದಾರೆ ಮತ್ತು ವರದಿ ಮಾಡಿದ್ದಾರೆ.
ದುರ್ಬಲತೆಯ ಮೂಲತತ್ವವೆಂದರೆ, URL ಅನ್ನು ತಿಳಿದುಕೊಳ್ಳುವುದು ಮತ್ತು ನಿಮ್ಮ ಖಾತೆಯ ಅಡಿಯಲ್ಲಿ ಸಿಸ್ಟಮ್ನಲ್ಲಿದ್ದರೆ, ನೀವು ಇತರ ರೋಗಿಗಳ ಡೇಟಾವನ್ನು ವೀಕ್ಷಿಸಬಹುದು.
ಡಾಕ್ಟರ್ ಸಮೀಪದ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಹೊಸ ಖಾತೆಯನ್ನು ನೋಂದಾಯಿಸಲು, ನಿಮಗೆ ನಿಜವಾಗಿ ದೃಢೀಕರಣ SMS ಕಳುಹಿಸಲಾದ ಮೊಬೈಲ್ ಫೋನ್ ಸಂಖ್ಯೆ ಮಾತ್ರ ಬೇಕಾಗುತ್ತದೆ, ಆದ್ದರಿಂದ ಯಾರೂ ತಮ್ಮ ವೈಯಕ್ತಿಕ ಖಾತೆಗೆ ಲಾಗ್ ಇನ್ ಮಾಡುವಲ್ಲಿ ಯಾವುದೇ ಸಮಸ್ಯೆಗಳನ್ನು ಹೊಂದಿರುವುದಿಲ್ಲ.
ಬಳಕೆದಾರನು ತನ್ನ ವೈಯಕ್ತಿಕ ಖಾತೆಗೆ ಲಾಗ್ ಇನ್ ಮಾಡಿದ ನಂತರ, ಅವನು ತಕ್ಷಣವೇ ತನ್ನ ಬ್ರೌಸರ್ನ ವಿಳಾಸ ಪಟ್ಟಿಯಲ್ಲಿರುವ URL ಅನ್ನು ಬದಲಾಯಿಸುವ ಮೂಲಕ ರೋಗಿಗಳ ವೈಯಕ್ತಿಕ ಡೇಟಾವನ್ನು ಹೊಂದಿರುವ ವರದಿಗಳನ್ನು ಮತ್ತು ವೈದ್ಯಕೀಯ ರೋಗನಿರ್ಣಯವನ್ನು ವೀಕ್ಷಿಸಬಹುದು.
ಸೇವೆಯು ವರದಿಗಳ ನಿರಂತರ ಸಂಖ್ಯೆಯನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಈ ಸಂಖ್ಯೆಗಳಿಂದ ಈಗಾಗಲೇ URL ಅನ್ನು ರೂಪಿಸುತ್ತದೆ ಎಂಬುದು ಗಮನಾರ್ಹ ಸಮಸ್ಯೆಯಾಗಿದೆ:
https://[адрес сайта]/…/…/40261/…
ಆದ್ದರಿಂದ, ಸಿಸ್ಟಮ್ನಲ್ಲಿನ ವರದಿಗಳ ಒಟ್ಟು ಸಂಖ್ಯೆಯನ್ನು (7911) ಲೆಕ್ಕಾಚಾರ ಮಾಡಲು ಮತ್ತು (ದುರುದ್ದೇಶಪೂರಿತ ಉದ್ದೇಶವಿದ್ದರೆ) ಡೌನ್ಲೋಡ್ ಮಾಡಲು ಕನಿಷ್ಠ ಅನುಮತಿಸಲಾದ ಸಂಖ್ಯೆ (42926) ಮತ್ತು ಗರಿಷ್ಠ (35015 - ದುರ್ಬಲತೆಯ ಸಮಯದಲ್ಲಿ) ಹೊಂದಿಸಲು ಸಾಕು. ಅವೆಲ್ಲವೂ ಸರಳ ಲಿಪಿಯೊಂದಿಗೆ.
ವೀಕ್ಷಣೆಗೆ ಲಭ್ಯವಿರುವ ಡೇಟಾಗಳಲ್ಲಿ: ವೈದ್ಯರು ಮತ್ತು ರೋಗಿಯ ಪೂರ್ಣ ಹೆಸರು, ವೈದ್ಯರು ಮತ್ತು ರೋಗಿಯ ಜನ್ಮ ದಿನಾಂಕಗಳು, ವೈದ್ಯರು ಮತ್ತು ರೋಗಿಯ ದೂರವಾಣಿ ಸಂಖ್ಯೆಗಳು, ವೈದ್ಯರು ಮತ್ತು ರೋಗಿಯ ಲಿಂಗ, ವೈದ್ಯರು ಮತ್ತು ರೋಗಿಯ ಇಮೇಲ್ ವಿಳಾಸಗಳು, ವೈದ್ಯರ ವಿಶೇಷತೆ , ಸಮಾಲೋಚನೆಯ ದಿನಾಂಕ, ಸಮಾಲೋಚನೆಯ ವೆಚ್ಚ ಮತ್ತು ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ ಸಹ ರೋಗನಿರ್ಣಯ (ವರದಿಯ ಕಾಮೆಂಟ್ನಂತೆ).
ಈ ದುರ್ಬಲತೆಯು ಮೂಲಭೂತವಾಗಿ ಇದ್ದದ್ದಕ್ಕೆ ಹೋಲುತ್ತದೆ ಮೈಕ್ರೋಫೈನಾನ್ಸ್ ಸಂಸ್ಥೆಯ "ಝೈಮೊಗ್ರಾಡ್" ನ ಸರ್ವರ್ನಲ್ಲಿ. ನಂತರ, ಹುಡುಕುವ ಮೂಲಕ, ಸಂಸ್ಥೆಯ ಗ್ರಾಹಕರ ಸಂಪೂರ್ಣ ಪಾಸ್ಪೋರ್ಟ್ ಡೇಟಾವನ್ನು ಹೊಂದಿರುವ 36763 ಒಪ್ಪಂದಗಳನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಯಿತು.
ನಾನು ಮೊದಲಿನಿಂದಲೂ ಸೂಚಿಸಿದಂತೆ, ಡಾಕ್ಟರ್ ಹತ್ತಿರದ ಉದ್ಯೋಗಿಗಳು ನಿಜವಾದ ವೃತ್ತಿಪರತೆಯನ್ನು ತೋರಿಸಿದರು ಮತ್ತು 23:00 ಕ್ಕೆ (ಮಾಸ್ಕೋ ಸಮಯ) ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ನಾನು ಅವರಿಗೆ ತಿಳಿಸಿದ್ದರೂ, ನನ್ನ ವೈಯಕ್ತಿಕ ಖಾತೆಗೆ ಪ್ರವೇಶವನ್ನು ತಕ್ಷಣವೇ ಎಲ್ಲರಿಗೂ ಮುಚ್ಚಲಾಯಿತು, ಮತ್ತು 1: 00 (ಮಾಸ್ಕೋ ಸಮಯ) ಈ ದುರ್ಬಲತೆಯನ್ನು ನಿವಾರಿಸಲಾಗಿದೆ.
ಅದೇ DOC+ (ನ್ಯೂ ಮೆಡಿಸಿನ್ LLC) ನ PR ವಿಭಾಗವನ್ನು ಮತ್ತೊಮ್ಮೆ ಒದೆಯದೇ ಇರಲು ನನಗೆ ಸಾಧ್ಯವಿಲ್ಲ. ಘೋಷಿಸುವುದು"ಅಲ್ಪ ಪ್ರಮಾಣದ ಡೇಟಾವನ್ನು ತಾತ್ಕಾಲಿಕವಾಗಿ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಾಗುವಂತೆ ಮಾಡಲಾಗಿದೆ", ನಮ್ಮ ವಿಲೇವಾರಿಯಲ್ಲಿ ನಾವು "ವಸ್ತುನಿಷ್ಠ ನಿಯಂತ್ರಣ" ಡೇಟಾವನ್ನು ಹೊಂದಿದ್ದೇವೆ ಎಂಬ ಅಂಶವನ್ನು ಅವರು ಕಳೆದುಕೊಳ್ಳುತ್ತಾರೆ, ಅವುಗಳೆಂದರೆ ಶೋಡಾನ್ ಸರ್ಚ್ ಇಂಜಿನ್. ಆ ಲೇಖನದ ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಸರಿಯಾಗಿ ಗಮನಿಸಿದಂತೆ - ಶೋಡಾನ್ ಪ್ರಕಾರ, DOC+ IP ವಿಳಾಸದಲ್ಲಿ ತೆರೆದ ಕ್ಲಿಕ್ಹೌಸ್ ಸರ್ವರ್ನ ಮೊದಲ ಸ್ಥಿರೀಕರಣದ ದಿನಾಂಕ: 15.02.2019/03/08 00:17.03.2019:09, ಕೊನೆಯ ಸ್ಥಿರೀಕರಣದ ದಿನಾಂಕ: 52/ 00/40 XNUMX:XNUMX:XNUMX. ಡೇಟಾಬೇಸ್ ಗಾತ್ರವು ಸುಮಾರು XNUMX GB ಆಗಿದೆ.
ಒಟ್ಟು 15 ಸ್ಥಿರೀಕರಣಗಳು ಇದ್ದವು:
15.02.2019 03:08:00
16.02.2019 07:29:00
24.02.2019 02:03:00
24.02.2019 02:50:00
25.02.2019 20:39:00
27.02.2019 07:37:00
02.03.2019 14:08:00
06.03.2019 22:30:00
08.03.2019 00:23:00
08.03.2019 14:07:00
09.03.2019 05:27:00
09.03.2019 22:08:00
13.03.2019 03:58:00
15.03.2019 08:45:00
17.03.2019 09:52:00ಹೇಳಿಕೆಯಿಂದ ಅದು ಕಂಡುಬರುತ್ತದೆ ತಾತ್ಕಾಲಿಕವಾಗಿ ಇದು ಒಂದು ತಿಂಗಳಿಗಿಂತ ಸ್ವಲ್ಪ ಹೆಚ್ಚು, ಆದರೆ ಸಣ್ಣ ಪ್ರಮಾಣದ ಡೇಟಾ ಇದು ಸರಿಸುಮಾರು 40 ಗಿಗಾಬೈಟ್ಗಳು. ಹಾಗಾದರೆ ನನಗೆ ತಿಳಿಯದು…
ಆದರೆ ನಾವು "ಡಾಕ್ಟರ್ ಹತ್ತಿರದಲ್ಲಿದೆ" ಗೆ ಹಿಂತಿರುಗೋಣ.
ಈ ಸಮಯದಲ್ಲಿ, ನನ್ನ ವೃತ್ತಿಪರ ಮತಿವಿಕಲ್ಪವು ಕೇವಲ ಒಂದು ಉಳಿದಿರುವ ಸಣ್ಣ ಸಮಸ್ಯೆಯಿಂದ ಕಾಡುತ್ತಿದೆ - ಸರ್ವರ್ ಪ್ರತಿಕ್ರಿಯೆಯಿಂದ ನೀವು ಸಿಸ್ಟಮ್ನಲ್ಲಿನ ವರದಿಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು. ಪ್ರವೇಶಿಸಲಾಗದ URL ನಿಂದ ನೀವು ವರದಿಯನ್ನು ಪಡೆಯಲು ಪ್ರಯತ್ನಿಸಿದಾಗ (ಆದರೆ ವರದಿಯು ಸ್ವತಃ ಲಭ್ಯವಿದೆ), ಸರ್ವರ್ ಹಿಂತಿರುಗಿಸುತ್ತದೆ ACCESS_DENIED, ಮತ್ತು ನೀವು ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ವರದಿಯನ್ನು ಪಡೆಯಲು ಪ್ರಯತ್ನಿಸಿದಾಗ, ಅದು ಹಿಂತಿರುಗುತ್ತದೆ ಸಿಕ್ಕಿಲ್ಲ. ಕಾಲಾನಂತರದಲ್ಲಿ ಸಿಸ್ಟಮ್ನಲ್ಲಿನ ವರದಿಗಳ ಸಂಖ್ಯೆಯಲ್ಲಿನ ಹೆಚ್ಚಳವನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡುವ ಮೂಲಕ (ವಾರಕ್ಕೊಮ್ಮೆ, ತಿಂಗಳು, ಇತ್ಯಾದಿ), ನೀವು ಸೇವೆಯ ಕೆಲಸದ ಹೊರೆ ಮತ್ತು ಒದಗಿಸಿದ ಸೇವೆಗಳ ಪರಿಮಾಣವನ್ನು ನಿರ್ಣಯಿಸಬಹುದು. ಇದು ಸಹಜವಾಗಿ, ರೋಗಿಗಳು ಮತ್ತು ವೈದ್ಯರ ವೈಯಕ್ತಿಕ ಡೇಟಾವನ್ನು ಉಲ್ಲಂಘಿಸುವುದಿಲ್ಲ, ಆದರೆ ಇದು ಕಂಪನಿಯ ವ್ಯಾಪಾರ ರಹಸ್ಯಗಳ ಉಲ್ಲಂಘನೆಯಾಗಿರಬಹುದು.
ಮೂಲ: www.habr.com